2019-06-18请问一下老师Cookie是不是不能跨一级域访问, 这个隐藏的token是不是可以放在Set-Cookie里面?作者回复: 之所在要放在Form表单的隐藏元素里,正是为了避免浏览器通过cookie自动携带上,所以不能放在Set-Cookie里
2 2
2019-06-07感觉关于 CSRF 的第二种防范方法讲的不是很清晰,比较常用的是 “Cookie-to-header token” 这种模式,即利用第三方网站无法访问 Cookie 的机制来在请求头部携带 x-csrf-token 在后端进行验证。
参考链接:https://en.wikipedia.org/wiki/Cross-site_request_forgery#Cookie-to-header_token 2
2019-06-06这个隐藏的token是放在返回参数里?为什么攻击的网站不能获取到?一般的返回数据第三方网站做拦截后也能得到数据吧作者回复: 1、一般是放在form中的。
2、攻击网站不能读取其他域下的DOM结构,因此获取不了。
3、这只是针对的JS脚本哦,这种攻击方式最常见,如果是抓包这种中间人攻击是没有办法的,此时只能期待走TLS加密了(参见第4部分课程) 1
2019-06-09同源策略导致csrf 就是攻击者可以伪造用户操作- 2019-06-07有几个问题不太理解, 希望老师帮忙解答一下:
1. 在没有同源策略时, 站点B修改站点A的DOM结构是在用户点击提交的时候修改的, 还是在DOM结构展示的时候修改的?
2. 这节课的例子中站点A与站点B的角色切换是不是这样理解: 开始两页PPT站点A是攻击者, 中间讲没有同源策略下的Cookie使用时, 站点B是攻击者, 后来讲同源策略时可用性与安全性的平衡时又是站点A是攻击者?
3. 为什么跨域写操作被认为是提高可用性而进行的操作呢, 如果是修改密码的话这是不是很高敏感性的操作, 如果可以跨域写那安全性要怎么保证?
4. 在CSRF的部分, 用户点击相应的按钮这个相应的按钮具体指什么按钮, 是指用户在伪造站点自己填写转账表单信息点击转账按钮吗, 还是用户随便点击了一个按钮, 然后攻击者站点通过JS脚本伪造了转账请求, 如果是后面一种请求, 那攻击者网站是不知道用户的密码的吧, 还有此时由于同源策略站点B是不是无法读取到站点A的cookie呢? 如果攻击者能获取到A站点的cookie, 为啥就获取不到token呢?展开作者回复: 1、B的JS脚本执行的时候。
2、开始两页没有攻击者,没有同源策略时B是攻击者,后面A是攻击者。
3、因为GET服务提供站点可能是静态资源站点,而POST面对的是动态站点,不同域名会导致跨域。
4、攻击者只是可以使用cookie,而cookie的意义它并不知道;而token不会记录到cookie中。 
2019-06-03这个隐藏的token是存储在哪里呢?作者回复: 服务器数据库里